概要
Tenda 4G03 Pro ルーター の ファームウェア バージョン 1.0 および 1.1(ビルド 04.03.01.53) に おいて、 /bin/httpd コンポーネント に 不適切 な アクセス 制御 の 脆弱性 が 存在 します。 この 脆弱性 は リモート から 攻撃 が 可能 であり、 認証 を 必要 と しない 攻撃者 が 本来 アクセス できない はず の 機能 や リソース に 不正 に アクセス できる 可能性 が あります。 エクスプロイト が 公開 されて おり、 実際 の 攻撃 に 利用 される リスク が 高い ため、 早急 な 対応 が 推奨 されます。 CWE-266(不正 な 権限 割り当て) および CWE-284(不適切 な アクセス 制御) に 分類 される 問題 です。
この 脆弱性 を 悪用 する 攻撃者 は、 ルーター の 管理 インターフェース に 対して 認証 なし で HTTP リクエスト を 送信 する こと で、 設定 変更、 パスワード の 取得、 ファームウェア の 操作 など を 実行 できる おそれ が あります。 4G モバイル ルーター は、 中小 企業 や リモートワーク 環境 で 利用 される ケース が 多く、 セキュリティ 更新 が 適用 されにくい 傾向 が ある ため、 長期間 にわたって 脆弱 な 状態 が 放置 される リスク が あります。 特に、 WAN 側 から アクセス 可能 な 状態 で 運用 されて いる 場合、 インターネット 経由 で の 攻撃 が 成立 する ため、 被害 が 拡大 する 可能性 が あります。
CVSS ベクトル
| 項目 | 値 |
|---|---|
| CVSS スコア | 7.3 |
| 深刻度 | HIGH |
| 攻撃元区分 | ネットワーク |
| 攻撃条件の複雑さ | 低 |
| CWE | CWE-266, CWE-284 |
影響 を 受ける ソフトウェア
| 製品名 | ベンダー | 影響バージョン |
|---|---|---|
| 4G03 Pro | Tenda | 1.0 |
| 4G03 Pro | Tenda | 1.1 (04.03.01.53) |
修正 バージョン と 回避策
- 修正: Tenda の 公式 サイト にて ファームウェア 更新 を 確認 して ください。 現時点 で ベンダー から の 修正 リリース に関する 情報 は 確認 できて いません
- 回避策: リモート 管理 機能 を 無効化 し、 WAN 側 からの HTTP アクセス を ファイアウォール で 遮断 する こと を 推奨 します。 管理 画面 へ の アクセス は LAN 側 に 限定 して ください
- 補足: エクスプロイト が 公開済み の ため、 早急 な 対応 が 必要 です。 不要 な ポート の 公開 を 停止 し、 ネットワーク セグメンテーション を 検討 して ください。 代替 製品 へ の 移行 も 選択肢 と して 検討 する こと を 推奨 します
関連リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。